Varias fundaciones open source se unen para establecer los estándares de ciberseguridad en respuesta a la CRA de la 0UE
En un movimiento en conjunto, varias fundaciones líderes en el mundo del código abierto han decido unir fuerzas para abordar uno de los principales temas de interés en el EU, y es que se han unido para establecer una iniciativa conjunta para establecer especificaciones comunes que promuevan la ciberseguridad y el cumplimiento normativo, especialmente en respuesta a la Ley de Resiliencia Cibernética (CRA) de la Unión Europea.
En respuesta a la creciente necesidad de estándares de procesos de ciberseguridad, la Apache Software Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation, Rust Foundation y Eclipse Foundation se unen para abordar el cumplimiento de la Ley, ya que esta colaboración es crucial dado que la CRA, entrará en vigor en 2027, por lo que es necesario establecer los estándares estrictos para la seguridad cibernética y la resiliencia de las infraestructuras digitales, incluido el software de código abierto.
La iniciativa, coordinada por la Fundación Eclipse AISBL con sede en Bruselas y respaldada por su proceso de especificación y un nuevo grupo de trabajo, busca establecer especificaciones comunes que reflejen las mejores prácticas en el desarrollo de software seguro. Este esfuerzo colaborativo invita a otras fundaciones de código abierto, empresas emergentes, actores de la industria e investigadores a participar activamente.
Se menciona que de manera inicial se trabajara para aprovechar las políticas y procedimientos de seguridad existentes de las respectivas fundaciones de código abierto, junto con documentos similares que detallen las mejores prácticas.
La gobernanza del grupo de trabajo se basará en el modelo establecido por la Fundación Eclipse, con una representación equitativa de la comunidad de código abierto para garantizar la diversidad y la transparencia en la toma de decisiones. Se espera que los resultados incluyan especificaciones de procesos disponibles bajo licencias de derechos de autor liberales y libres de regalías.
Además de ello, uno de los principales objetivos de esta colaboración es desarrollar especificaciones de proceso que estén disponibles bajo licencias liberales y libres de regalías. Esto garantizará que las comunidades de código abierto puedan adoptar y utilizar estas especificaciones sin restricciones, fomentando la seguridad y el cumplimiento normativo en todos los niveles del desarrollo de software.
La participación de otras fundaciones de código abierto, pymes, actores de la industria e investigadores es fundamental para el éxito de esta iniciativa. Se espera que la diversidad de experiencias y conocimientos aporte una perspectiva integral a la elaboración de estas especificaciones comunes.
Los desafíos que enfrenta esta colaboración son significativos. El tiempo limitado para implementar los nuevos estándares, la diversidad de enfoques en las comunidades de código abierto y la necesidad de alinear los requisitos de seguridad con las prácticas de desarrollo existentes son solo algunas de las consideraciones clave.
Aunque las comunidades y fundaciones de código abierto generalmente siguen las mejores prácticas de seguridad de la industria, la legislación ha creado una necesidad urgente de estándares de procesos de ciberseguridad, especialmente con la CRA de la Unión Europea.
La CRA generará múltiples solicitudes de estándares a los organismos europeos de normalización, además de que estos requisitos no se limitan a Europa, ya que se esperan solicitudes similares de los Estados Unidos y otras regiones, es por ello que las fundaciones de código abierto están asumiendo el desafío de establecer especificaciones comunes para el desarrollo seguro de software.
Este desafío se complica por varios factores:
- Más del 80% de la infraestructura de software global es de código abierto, lo que significa que la cadena de suministro de software depende en gran medida de él.
- Los organismos de normalización tradicionales tienen poca interacción con las comunidades de código abierto y carecen de modelos de gobernanza para integrar sus estándares.
- Las comunidades de código abierto tienen recursos limitados y poca experiencia con los organismos de normalización.
Estt colaboración demuestra el compromiso de las fundaciones de código abierto en abordar los desafíos de la ciberseguridad de manera proactiva y efectiva y se espera que las especificaciones resultantes no solo cumplan con los requisitos de la CRA, sino que también establezcan un estándar de excelencia en la seguridad del software de código abierto a nivel mundial.
Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.